3 truques que prendem as pessoas que compram NFTs

Um pesquisador da Cisco Talos explica como identificar contratos inteligentes maliciosos, sleepminting e outras armadilhas no mundo dos tokens não fungíveis.

Contratos inteligentes maliciosos, sleepminting e frases de sementes são termos desconhecidos para a maioria das pessoas novas no mundo de tokens e criptomoedas não fungíveis. Essa falta de conhecimento torna qualquer pessoa que lida com essas coisas vulnerável a golpes. Os maus atores não perdem tempo em tirar vantagem dessa ignorância por meio de ataques de engenharia social.

Jaeson Schultz, líder técnico do Talos Security Intelligence and Research Group da Cisco, escreveu um novo trabalho de pesquisa que destaca as muitas maneiras de ser enganado ao comprar ou cunhar NFTs. Ele descreve o que acontece quando você mistura nova tecnologia e engenharia social:

“A tecnologia desconhecida muitas vezes pode levar os usuários a tomar decisões erradas. A Web 3.0 não é exceção. A grande maioria dos incidentes de segurança que afetam os usuários da Web 3.0 decorrem de ataques de engenharia social.”

O trabalho de pesquisa, “Securing Web 3.0, the Metaverse & Beyond”, explica tanto as más decisões quanto os esquemas de engenharia social que muitas vezes têm um impacto financeiro significativo. Um dos pontos mais vulneráveis ​​desta comunidade é a carteira de criptomoedas. Qualquer pessoa que negocie NFTs e criptomoedas precisa de um. Algumas transações exigem que os proprietários permitam que terceiros interajam com a carteira. Isso deixa muitos proprietários de NFT vulneráveis ​​a maus atores que projetam malware e esquemas de engenharia social para obter o controle de uma carteira e roubar o conteúdo.

VEJA: Segurança do metaverso: como aprender com os erros da Internet 2.0 e construir mundos virtuais seguros

Schultz explica por que gerenciar e proteger essas carteiras é tão crucial:

“Cada vez mais, as carteiras de criptomoedas estão sendo usadas para identificação e personalização do conteúdo do metaverso, portanto, se você perder sua frase inicial, perderá o controle sobre sua identidade e todos os seus pertences digitais pessoais.”

Seu trabalho de pesquisa oferece um curso intensivo de todas as maneiras pelas quais isso pode acontecer, bem como uma útil lição de vocabulário. Aqui está uma olhada nos riscos no sistema e como evitar fraudes.

Por que as frases iniciais são importantes

Quando um usuário abre uma carteira, ele recebe uma frase inicial que a acompanha. Esta frase de palavras aleatórias é literalmente a única chave para o reino. Não há processo de redefinição se o usuário esquecer a frase ou compartilhá-la com um agente mal-intencionado. Muitas empresas de NFT usam o Discord como a principal forma de comunicação com os compradores. Isso torna mais fácil para os golpistas se arem por agentes de atendimento ao cliente e se oferecerem para ajudar, desde que a pessoa forneça a frase inicial para sua carteira.

Sleepminting é malware para contratos inteligentes

Outro golpe usa a velha tática de malware no novo veículo de entrega de contratos inteligentes. Contratos inteligentes maliciosos têm todos os componentes de contratos normais, mas se comportam de maneiras inesperadas, ou seja, para beneficiar o mau ator em vez do comprador. Schultz descreve a tática do sleepminting que cria um contrato inteligente para completar um golpe em duas etapas:

1. Mint NFTs para as carteiras de outras pessoas
2. Transfira os NFTs cunhados dessas outras carteiras para que o NFT possa ser vendido a um comprador desavisado.

É assim que a manipulação funciona:

“Embora o invasor não possa controlar o endereço de criptografia usado para transmitir a transação para a rede Ethereum, eles * controlam * o conteúdo dos dados sobre o NFT cunhado por meio de seu próprio contrato inteligente malicioso. Neste exemplo, na seção Tokens Transfered, o invasor definiu os próprios endereços Tokens Transfered From e To.”

O contrato inteligente que deveria tornar a transação transparente e rastreável, na verdade, permite que o mau ator forje a proveniência de um NFT na blockchain Ethereum.

É DNS sem ICANN

À medida que NFTs e criptomoedas se tornam mais populares, você espera que alguns guard rails apareçam para proteger contra maus atores. O Ethereum Name Service é um começo para esse tipo de proteção, mas também tem suas falhas.

Os endereços de carteira Ethereum são sequências de 42 caracteres que se parecem com números de série e são igualmente difíceis de lembrar. O Ethereum Name Service torna esses endereços mais fáceis de lembrar e identificar – assim como o DNS – mas o serviço não possui as mesmas proteções internas. Por exemplo, a ICANN – uma organização sem fins lucrativos centralizada – tem um procedimento estabelecido para resolver disputas de nomes de domínio. A ENS não fornece esse serviço. Além disso, uma vez que um indivíduo ou organização reivindica um endereço e o coloca no blockchain, ele não pode ser revogado, independentemente de a pessoa que reivindica o endereço realmente representar a empresa. Como Schultz escreve:

“Pode não ser surpresa que os domínios da ENS como cisco.eth, wellsfargo.eth, foxnews.eth e assim por diante não sejam de fato de propriedade das respectivas empresas que possuem essas marcas, mas sim de terceiros que registraram essas marcas. nomes desde o início com intenções desconhecidas. … Nada impede o proprietário do domínio ENS wellsfargo.eth de usar esse nome para enganar usuários desavisados ​​e fazê-los acreditar que estão lidando com o banco real.”

Além disso, os benefícios de facilidade de uso do ENS também têm uma desvantagem:

“O uso de nomes de domínio ENS também tem o efeito de anunciar o saldo de criptomoeda que o proprietário carrega em sua carteira, suas participações NFT etc.

Já existe uma lista pública das contas do Twitter mais seguidas com nomes .eth.

Práticas recomendadas para compradores de NFT

Schultz recomenda seguir estas práticas recomendadas para evitar ser enganado ao lidar com carteiras de criptomoedas, NFTs e mundos virtuais:

• Use bons fundamentos de segurança: senhas sólidas, autenticação multifator, gerenciador de senhas, segmentação de rede e logs de atividade de rede.
• Examine os endereços da Internet, do domínio ENS e da carteira de criptomoedas em busca de erros de digitação inteligentemente ocultos e nunca clique em links que são apresentados a você não solicitados por meio de mídia social ou e-mail.
• Nunca dê sua frase semente a ninguém.
• Use uma carteira de hardware para adicionar outra camada de segurança às suas participações em criptomoedas/NFT.
• Pesquise suas compras e procure o código-fonte de um contrato inteligente antes de comprar qualquer coisa.
• Certifique-se de estar comprando do projeto correto na blockchain correta.
• Considere usar um endereço de carteira recém-gerado com fundos suficientes para cobrir o custo de uma nova compra, se você precisar conectar uma carteira de criptomoedas para comprar ou cunhar um NFT.